洞察解析
內部稽核3.0(上)內部稽核未來的關鍵即是現在
勤業眾信風險管理諮詢 (股) 公司 / 張益紳執行副總經理、徐潔茹協理、魏以涵副理
當企業各個部門紛紛邁入科技驅動、創新導向、充斥著風險性與破壞性的未來時,我們不禁想問「內部稽核的未來在哪裡?」儘管已經持續付出努力以因應利害關係人不斷增長的需求,面對這個問題時,最常見的回答通常是「不停地追趕。」
在環境加速變遷的同時,人們往往會欠缺企業與經營環境早已產生重大且實質性變化的認知。這也意味著內部稽核必需跟上這波創新與轉型的浪潮。若沒有採用新的方法,內部稽核的功能將會無法跟上企業策略與科技發展,也無法滿足利害關係人的期待與妥善因應新興風險。換句話說,擁抱創新將可協助內部稽核能夠更精準地預測與有效回應利害關係人的需求,並使內稽人員能夠以更有助益及更具影響力的方式,來應對組織的新興風險。
我們不斷地鼓勵內稽部門應採納新的工具與技術來提升所需能力以有效因應今日的各項挑戰,此外,訂定與發展一連貫性的願景以持續優化內部稽核部門的專業性和功能性也同樣重要。這樣的願景對於驅動內稽功能及組織整體的變革及排序各項因應措施將扮演極為關鍵的角色。
透過與審計委員會主席、高階管理者、內部稽核主管和企業領導人的諮詢,勤業眾信發展出一份內部稽核的未來藍圖以釐清內部稽核的期望功能,我們將其稱為「內部稽核3.0」。新世代內部稽核功能將更能感知及靈活因應新興風險、科技、創新性與破壞性的挑戰和組織型態。在企業管理階層追求創造及傳遞價值新方法的同時,「內部稽核3.0」將可充分協助組織保護企業流程與資產。
如同作業系統或應用程式的新版本升級一樣,「內部稽核3.0」更新了既有待提升的作業,並提供了新的特性和功能,且同步保留及奠基於過去版本中的最佳功能。因此,內部稽核3.0可被視為一種創新的「作業系統」,使內部稽核的專業與職能可以更加符合現有及新興的需求。
內部稽核的現在奠基於過去
長久以來,內部稽核並不用面臨需要創新的壓力,更遑論必需重塑內部稽核的功能,直到最近,我們可以從追溯近代內部稽核的進程窺探一二。成立於1941年的國際內部稽核協會(Institute of Internal Auditors‚IIA)開啟了「內部稽核1.0」,接著是因為沙賓(Sarbanes-Oxley)法案以及其對會計專業的影響(圖1)而衍生出的「內部稽核2.0」。在這樣演進的過程中,發展出了COSO框架及內稽專業能力的逐漸提升,如資訊科技稽核、數據分析,以及為因應全球金融危機所推動更進一步的稽核專業補充指引等。
經此長達十年紛擾的不確定性已逐漸進入尾聲,全世界正進入第四次工業革命,新科技、數位化和人工智慧也在巨幅地改變商業環境,企業面對持續演進的各項戰略、聲譽、作業、金融、監管及網路風險,持續創新以維持競爭能力已然成為企業的必修課題。
伴隨第四次工業革命中出現新興型態、複雜度、交互依附關係、速度的新風險,內部稽核單位也面臨來自於組織的新壓力,被期望能創造及提供具有價值的內稽功能。企業採取新的策略、做法和科技以使內部稽核部門對其功能和職權能提出新願景,確保內部稽核可提供組織攸關且具影響力的確信及建議。如果不採取任何行動,企業將會面臨內部稽核的技術及能力跟不上變化的新興風險。反之,積極採取行動將使內部稽核單位被定位在為利害關係人創造及提供新價值,如同企業一直為了達成永續經營而努力追求的方向。
雖然內部稽核單位所提供的服務重點及傳遞模式需要被更新,但其核心目的仍舊相同,即是一直以來強調的提供確信與建議。但,我們認為最成功的內部稽核功能也將會透過預應式的確信來進行預測,並幫助企業面對新興風險可以保持速度跟上甚至超越。
確信、建議、預測
勤業眾信透過與不同產業超過200名高階管理人員及審計委員會主席的面談,以及由稽核長和內稽單位主管所回饋的外部品質評估(EQAs)研究調查中彙整得出一個論點:利害關係人最在意也最期望內部稽核能提供的三重價值分別為確信、建議和預測。
這些主要的意見來源清楚地指出:
1.確信(Assurance)為內部稽核的核心價值。然而,現今確信的活動、議題及風險範圍,較過去來的更為廣泛與即時。確信雖然對於核心流程與重大風險極其重要,但同時也需要考量對組織的決策監管、內部行為的適當性、三道防線(Line of Defense, LoD)的有效性和數位科技的監督等領域進行確信。確信為內部稽核之核心角色,但並非唯一功能,故不能以此為限。
2.建議(Advising)管理階層有關控制的有效性、變革的新措施、三道防線相關的風險管理強化及其他重要事項,包含營運的效率效果等,才能完全符合內部稽核的職能與利害關係人的期待。所有的資料來源都證實了建議的功能將扮演內部稽核服務價值最大化的關鍵角色。
3.預測(Anticipating)風險及協助企業了解風險,並制定預防性的應對措施,將可以協助內部稽核從總是以後知後覺角度報告有什麼缺失的既定印象,轉變為能警示哪裡可能會出錯,以及應如何做才可以避免問題發生的前瞻性預警功能。內部稽核將變得更加積極主動,並透過確信與建議的功能角色發揮,幫助管理階層在風險升高前,及時採取行動加以遏止。
我們將在本文深入探討這三大功能面向的價值。現在可以斷言的是,因「內部稽核3.0」的出現,為提供確信、建議與預測的內稽功能價值,將需要更多的創新與由科技所驅動的方法。
內部稽核3.0體系總覽
確信、建議與預測為內部稽核3.0的核心價值,同時涵蓋了基礎及進階的功能活動,以為組織帶來新的價值。圖2中呈現了內部稽核3.0的核心特徵。
確信、建議與預測的價值將可透過以下方法實現:
- 數位資產:已開始進行轉化並即將徹底改革內部稽核的工作;
- 技巧與能力:協助內部稽核改善與利害關係人的互動並更符合他們的需求;
- 推動方式:使內部稽核體可以理想的方式提供新價值。
若認為相同的一群人以相同方式運用相同的資源即可達成甚至超出利害關係人的要求,則無異是緣木求魚。內部稽核3.0將挑戰內部稽核主管們的現行思考、方法及關係,使其擴展至更新、更廣泛與更深層的面向。若要進階為內部稽核3.0,必須真實地理解利害關係人所在乎的價值,並以有助提升品質、促進效率、及重新思考傳統假設的方式執行內部稽核工作。
在了解內部稽核3.0的演進過程與體系總覽後,內部稽核更關心如何將內部稽核3.0所主張的價值實現在企業當中,在下一期,我們將針對內部稽核3.0體系的核心價值及特徵進一步說明。
(本文節錄自Internal Audit 3.0 - The future of Internal Audit is now 2018)